“中信银行掉进池子”。有网友这样形容近日脱口秀演员王越池(下称“池子”)公开斥责中信银行股份有限公司(股票代码:601998.SH,下称“中信银行”)上海一家支行泄露其个人信息事件。中信银行迅速对此事进行了处理,问责相关员工和支行行长,但此事引发了公众和监管机构对银行如何依法保护个人金融信息安全的进一步关注,如何弥补个人金融信息保护中存在的漏洞,亟待监管部门和金融机构联合行动。
5月6日下午,池子通过微博发文声讨前东家上海笑果文化传媒有限公司(下称“笑果文化“),称笑果文化拖欠其演艺报酬,提出仲裁后却被索赔3000万。与此同时,池子怒斥中信银行“侵犯个人隐私”,将其个人账户交易明细交给笑果文化,并称“中信银行回复这是配合大客户的要求”。
上述微博一经发布,便引发多方热议,中信银行亦被推上风口浪尖。随后的5月7日凌晨1时,中信银行发表道歉信,宣布对相应员工进行处分,支行行长予以撤职,并表示在客户信息保护方面,该行建立了一整套制度及流程,但个别员工未严格按照制度操作,反映出其个别机构在制度执行上不到位。
5月7日下午,上海银保监局透露,已关注到脱口秀演员王越池(艺名“池子”)指责中信银行泄漏其个人账户交易信息一事,并正式介入调查。
目前来看,中信银行是否会掉进“池子”(受到监管处罚等),尚不可知。但由此事所引发的大众对于个人金融信息安全的担忧,已受到多方关注,相关监管部门亦以各种方式明确表态,将加强对个人金融信息合规保护的监管。
多名业内人士直言,此次中信银行事件不具有普遍性,不必无限放大,监管、银行都对个人信息保护都极为重视,也出台了相关的政策、规章制度。现有的数据泄漏事件,往往和银行“内鬼”有关。银行在技术上应当做到任何查询、拷贝都需要权限并留痕,以便事后追责;同时要加大处罚力度,必要时应科以刑事责任。
溯源:银行信息为何泄露?是否属于个例?
池子表示,笑果文化寄给他的案件材料中,竟然有自己在中信银行的个人账户交易明细。中信银行上海虹口支行未获本人授权,便将其个人账户流水提供给笑果文化,属于侵犯公民个人信息的违法行为,已通过律师发函要求中信银行、笑果文化赔偿损失,并公开道歉。
与此同时,池子透露,已就此事咨询中信银行,后者回应称“这是配合大客户的要求”。这亦是引爆舆论之处,多名网友质疑:“大客户有要求,银行就能随意泄露其他客户信息?个人在银行的账户信息等是否安全?”
多名银行业从业人士接受《财经》记者采访时表示,中信银行此事不具有普遍性,监管、银行都对个人信息保护都极为重视,也出台了相关的政策、规章制度,但问题在于缺少严格的法律监管,以及如何督促相关人员执行到位。
根据现行《中华人民共和国商业银行法》中第29条,商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。
2011年、2018年,银保监会又相继发布《银行监管统计数据质量管理良好标准(试行)》和《银行业金融机构数据治理指引》(下称《数据治理指引》),后者对银行业数据保护提出一系列规范要求,如银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全等。
“中信银行出现的这个情况在业内属于个别现象,目前商业银行对个人信息查询还是比较严格的。一般如果个人查询流水,分为线下和线上。如果是线下查询,需要本人到场并且出示身份证件;如果是线上查询,一般是通过各种密码验证等方式。”邮储银行高级经济师卜振兴接受《财经》记者采访时表示。
北京寻真律师事务所主任律师王德怡对上述观点表示认同。他认为,中信银行在未得到完整合法授权的情况下,将客户的交易信息提供给他人。这件事情不具备普遍性,实践中若想从银行调取其他公民的存款信息,即便是律师,也需要向人民法院申请调查令,或者通过有权司法机关才能获取。如果某个当事人的银行账户变动信息确实与案件有关,无论是律师还是法院,以及银行工作人员,都应当履行必要的审查程序。
但即便是严格的规定、程序,依然难以抵挡人为因素。有黑产从业者向《财经》记者出示了不同价位(3000元-5000元不等)的查询银行流水服务,但对于这些信息的来源,黑产从业者讳莫如深。
多名银行从业人员告诉《财经》记者,即便银行制定了相关的规章制度,但银行员工进入柜台交易系统查询或打印交易明细等并非难事。某城商行零售业务客户经理直言,“我们确实可以直接查询,但内部有严格要求不能随意泄露客户信息,更何况去提供给第三方,不过,这个问题说到底,还是在于银行员工的职业道德问题。”
规范之外或有“人情”。某金融领域律师向《财经》记者坦言,“比如与某个银行员工关系到位,就能够通过他们查到其他人银行账户上的余额和变动信息。有的当事人就是银行员工,往往能给我提供这种信息,对于在诉讼中的财产保全,这是十分关键的信息。”
无独有偶。在池子怒斥中信银行泄露个人账户信息之前,由银行泄露用户信息所导致的纠纷在裁判文书网上屡见不鲜。
而不久前,境外社交网站及黑客论坛上更是出现多个公开出售中国金融机构客户信息的帖子,涉及包括上海银行、浦发银行、兴业银行、平安保险、招商银行和农业银行等多家机构的数百万条客户数据。紧接着,上述机构相继回应称,经比对相关数据后,与其真实客户信息不匹配或基本不匹配。
银保监会相关负责人亦表示,在报道出来之前,银保监会相关部门就已监测到了不法分子在境外发布的售卖信息,并立即部署相关机构进行全面排查。随后,相关机构也陆续发表了澄清的声明。经查,被贩卖的信息绝大部分是黑客伪造或拼凑的。
补漏:完善相关规范 加大处罚力度
一系列涉及个人金融信息安全事件的出现,对从业机构敲响了警钟。
某城商行高管告诉《财经》记者,类似在暗网大规模的金融数据被交易,确实存在,但主要发生在2018年以前,当时《数据治理指引》尚未出台,很多银行分支行操作不规范,存在“内鬼”。但近年来,监管部门严格监管银行客户信息安全管理,罚单不断。而一些违规泄露客户信息的员工,不仅遭终身禁业,还会受到法律惩罚,不存在大规模数据泄露或导出售卖的可能性。但不可否认,依然存在个别通过“走后门”的关系进行信息查询,或者由于员工操作不当导致系统信息出现泄露的情况。
“银行内部管理制度存在漏洞。泄露途径主要有两个,一是内部员工泄露,二是系统提供商,可能存在‘开后门’的情况。”宁人律师事务所金融与科技委员会副主任马军表示。
的确,近年来,银行与第三方服务机构合作过程中存在的数据泄露风险,亦受到行业关注。据部分金融科技机构透露,在实际合作过程中,大部分银行对自有数据保护十分到位,但也有部分银行将部分数据泄露或售卖给第三方合作机构。
值得注意的是,监管亦关注到相关风险,并出手规范市场。2019年,《个人金融信息(数据)保护试行办法(初稿)》(下称《个人金融信息保护试行办法》)、《中国人民银行金融消费者权益保护实施办法(征求意见稿)》相继发布。
据《财经》拿到的《个人金融信息保护试行办法》全文,其在金融机构收集、处理和使用、对外提供个人金融信息等方面均做出严格规定。如指出金融机构不得向与其无业务关系的第三方提供个人金融信息,不得向非法从事个人征信业务活动的第三方提供个人金融信息等。
同时,金融机构向与其存在业务关系的第三方提供个人金融信息的,应当事先对其向第三方提供个人金融信息的必要性、安全性、合法性、对信息主体造成的风险以及第三方保护个人金融信息安全的能力等事项开展全面评估,未经评估或者经评估存在显著风险隐患的,金融机构不得向第三方提供个人金融信息。
另据《财经》记者了解,由于《个人金融信息保护试行办法》部分内容存在争议,目前已进行至少两轮以上的小范围征求意见。
与此同时,今年2月,央行发布《个人金融信息保护技术规范》(下称《规范》),从安全技术要求和安全管理两个维度,对收集、传输、使用、存储、共享、删除、销毁等个人金融信息全生命周期各环节中的保护工作提出全面细致的要求。
北京市网络法学研究会副秘书长车宁认为,基于《规范》,未来银行应从以下方面深化工作措施,提升管理强度:首先,深入调研线上业务场景及数据管理路径,梳理岗位设置,完善行内数据分级分类机制,建立全业务生命周期的数据合规体系,同时对存量业务开展审计,规避、缓释相关法律风险;其次,全面评估与大数据等外部金融科技公司的业务合作,加强事前审查和事后审计;最后,特别加强对线上信贷场景及个人生物识别技术应用的合规管理。
“要从根本上解决个人信息安全问题,一是要建立完善的法律法规体系,这不仅仅是在金融行业层面,要让全社会提高对信息安全保护的重视,增加信息泄露的违法成本;二是要重视信息安全监督检查管理,这在以往的监管中受到的重视程度还有待提高;三是要加强金融从业者的管理,突出信息安全教育和管理的重要性。”卜振兴告诉《财经》记者。
